Movable Type 4.0 以降の脆弱性、改ざん被害多数発生中


2021年10月20日、シックス・アパート株式会社から、Movable Type 4.0 以降のすべてのバージョンが対象の脆弱性(CVE-2021-20837)が発表されました。

Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起

XMLRPC API に細工したメッセージを POSTすることで任意の OS コマンドが実行可能となるというOSコマンドインジェクションの脆弱性であり、当社にも11月15日より複数の被害報告が寄せられています。

本日2021年11月19日にも2件の被害報告があり、現在調査中ですが被害の深刻度を増しているとみられます。

なお、JPCERT/CCは、2021年10月26日にこの脆弱性の実証コード(PoC)が公開されていることを確認しています。

【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を!

当社でもこの脆弱性を悪用するMetasploitモジュールを確認しました。

足元での当社案件では、mtディレクトリが削除されている、消えているといった報告が届いています。

シックス・アパート株式会社より本脆弱性を修正したバージョンが公開されていますので、可及的速やかなアップデートを行ってください。

[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート) シックス・アパート株式会社

関連情報

Movable Type の脆弱性にご注意ください さくらインターネット株式会社

更新:「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755) IPA

バックドア設置の被害が発生したMovable Type、別のCMSでも対処が必要な理由

 

 

 

 


カテゴリ:
タグ: